漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2011-01940
漏洞标题:淘宝货到付款骗局
相关厂商:淘宝网
漏洞作者: 路人甲
提交时间:2011-04-20 14:51
修复时间:2011-05-20 15:00
公开时间:2011-05-20 15:00
漏洞类型:钓鱼欺诈信息
危害等级:高
自评Rank:16
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2011-04-20: 细节已通知厂商并且等待厂商处理中
2011-04-20: 厂商已经确认,细节仅向厂商公开
2011-04-30: 细节向核心白帽子及相关领域专家公开
2011-05-10: 细节向普通白帽子公开
2011-05-20: 细节向实习白帽子公开
2011-05-20: 细节向公众公开
简要描述:
网购多年终于在淘宝购物被骗了,骗子卖家利用了淘宝货到付款业务的逻辑漏洞,绕过了淘宝的所有信用评价机制。希望大家淘宝上购物时多加小心,也希望淘宝修复业务逻辑漏洞。
详细说明:
诈骗流程:
1.吸引买家
骗子卖家首先利用低价吸引买家。
2.货到付款
买家拍下商品后,骗子联系买家编造种种理由要求买家选择货到付款模式。
3.下线货到付款,线上不发货绕过淘宝信用评价机制
卖家通过货到付款,使用仿造的假货通过快递货到付款业务收到买家的钱。而淘宝网上订单一直保持在“等待卖家发货”状态。而“等待卖家发货”状态下,用户是不能评价,也不能维权的。
这样就形成了实际利用淘宝完成了交易,但网上状态是未完成交易,买家无法评价和维权,也就完美的绕过了淘宝的信用评价机制。
这种状态下唯一的维权方式是消费者热线:0571-85026880,但淘宝消费者热线非工作时间禁止呼叫,工作时间永远占线。
所谓细节决定成败。整个诈骗流程中,骗子利用了很多细节:
1. 卖家好评100%
利用买家认为好评100%的新卖家最害怕差评的心理,赢取信任。
2. 签署淘宝《消费者保障服务协议》,并交保证金
卖家加入淘宝的店铺保障服务,提供”如实描述“ ”7天退换“ ”24小时发货“,利用淘宝官方推出的保障服务,进一步取得买家的信任。
3.引导买家匿名购买,防止集体维权
通过给匿名购买者一些额外优惠的方式,引导买家匿名购买,防止买家集体维权。
4.引导买家货到付款,先货后款
卖家会编造种种理由引导卖家使用货到付款。利用了信任货到付款心理。
由于传统购物都是买对面先看商品后付款,表面看似乎比支付宝的第三方担保更安全。
淘宝官方认为货到付款方式 “安全/省心/放心”
5. 快速发货
在得到买家信息后,快速发货,使买家还未注意到淘宝上的发货状态是否变更就已经收到货物。
6. 选择肉眼不容易辨明真伪的商品
这类卖家往往会选择肉眼不容易辩明真伪的商品,即使买家当面验货也不能快速验出真伪。例如本例中,出售的是16G CF卡,收到的是包装和标示都显示16G,其实内部只有1G的CF卡。
7.更多细节
赠送读卡器,使卖家不用准备测试工具。但实际却赠送不想匹配的读卡器,买家由于没有准备读卡器,无法当场测试验证,增加行骗成功率。
改进建议:
A.针对买家:
1.使用支付宝
在淘宝上购物,一定要使用支付宝。
2.货到付款一定要确认发货状态是已发货才能付款收货。
如果一定要选择货到付款方式,那么在收货之前,一定要确认淘宝上订单状态已经改成了“已发货”状态。
B. 针对淘宝:
这种诈骗手段根本上是利用了淘宝货到付款业务逻辑的不合理,绕过了淘宝的信用评价制度。
1.货到付款方式,“卖家发货”不作为必要流程
如果选择货到付款方式,如果卖家不选择发货,就可以实际完成交易,但网上绕过淘宝的信用评价,因为如果网上状态永远是“等待发货”状态,买家就永远无法收货,也就永远无法评价和维权。
2.等待发货状态也应可以“维权”
3.增加消费者热线:0571-85026880线路
淘宝的消费者热线:0571-85026880 非工作时间禁止呼叫,工作时间永远占线。
4.加快投诉举报处理周期
早在4月12日就已有用户受骗进行了举报,但直至4月20日,淘宝仍然没有对骗子店铺进行处罚,期间又骗取多人。
识别骗子卖家:
骗子卖家店上有几处特征:
1.货到付款
2.匿名购买优惠
附:
诈骗商品地址:http://item.taobao.com/item.htm?id=9981436099
漏洞证明:
骗子似乎已经疯了~~~
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:中
漏洞Rank:10
确认时间:2011-04-20 16:44
厂商回复:
感谢反馈,这个属于产品业务逻辑方面的问题,我们会根据实际情况尽快修复。
最新状态:
暂无